诊断和破解MD5攻击只需简单两步

日期:2009-1-8作者:范臻来源:IT168

MD5   Web   网站   安全证书   PKI   攻击   破解   废除   MD5证书   

  最近,来自Rapid7 的一组国际安全研究员演示了如何成功攻击网络公钥架构(Public Key Infrastructure,PKI)。PKI是利用MD5 Hash函数产生的签名对Web网站安全证书进行认证的一种基础架构。

  值得庆幸的是,该漏洞很容易被诊断出来,破解这种攻击也并不困难:

  这是什么样的攻击?

  HTTPS网站会对访问者的浏览器发送安全证书,以通过身份验证来保证安全链接。安全证书中包含了该网站的主机名称和它的公共密钥,并由认证机构CA签署并加密该安全证书。浏览器则通过自己信任的CA列表对访问网站进行安全验证,检查该CA是否值得信任,从而避免受到钓鱼攻击。

  而在这次特定的袭击中,研究员成功地建立了一个有效的中间CA证书(经过权威CA认证)。然后,他们利用它来生成任意有效的Web站点证书,使它们能够模仿HTTPS网站、监测甚至篡改这些网站。这种攻击可能会影响到使用基于MD5机制所产生的X.509证书的应用软件。黑客们正在准备通过碰撞攻击法(collision attack)来攻击MD5运算法则,然后产生假冒的认证授权中心(Certificate Authority )。

  这次攻击简要概况如下:

  1、攻击者利用MD5中的漏洞创建假冒CA。

  2、攻击者可为某个Web站点创建有效HTTPS证书。

  3、攻击者利用安全证书获得大部分浏览器的信任。

  4、攻击者可以肆意执行基于浏览器攻击并获取终端用户敏感数据。

  就实际情况而言,这意味着谁掌控了假冒CA谁就可以发动中间人式的攻击,并且获得用户的银行帐号信息。其他的攻击还包括篡改发送到安全站点的数据信息以及钓鱼攻击。

  破解攻击步骤:

  在这种情况下,最好的解决办法就是废除所有的MD5证书。简要步骤概述如下:

  保护Web应用程序:

  1、查明任何证书或者使用MD5的证书。特别是要仔细核对TLS/SSL 服务器或者客户端证书,使用Rapid NeXpose 可以扫描该漏洞。

  2、采用SHA-1或者SHA-2而不是MD5验证安全证书。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

密码管理>更多

  • 独立管理员账号有多重要?

    我在考虑创建独立管理员账号时受到一些阻力。请问在大型企业中是否已有这类的政策成功部署?独立管理员账号是最好的方法吗?

  • 身份和访问管理策略:是时候走向现代化了吗?

    IT一直在不断发展,企业运作和交互方式也正以前所未有的速度发生变化。现在,是时候对你的身份和访问管理策略进行评估并迈向现代化了。

  • 数据泄露后:是否应强制执行密码重置?

    据报道,在重大数据泄露事故后,雅虎公司信息安全团队希望公司强制对所有电子邮件账户进行密码重置,但被管理层拒绝。那么,对于遭遇数据泄露的公司,应强制执行密码重置吗?这种做法有什么缺点?

  • 1024位密钥加密已不再安全

    因为“陷阱”素数(‘trapdoored' primes)的出现,使用1024位密钥加密算法已不再安全。在本文中,专家Michael Cobb解释了加密后门的工作机制。

相关推荐

  • SafeNet和Internet2联手保护各大学数字身份

    SafeNet公司和Internet2®日前宣布,他们签署了一份协议,提供SafeNet智能卡和PKI硬令牌,用于PKI身份信息的数据保护存储。

  • 视频讲座:如何防止关键数据泄露

    任何事情的发生都可能导致数据的泄漏,例如有针对性的攻击,丢失的移动终端,或者是错误配置的网络安全设备。

  • 谈谈HASH算法与CSDN密码泄漏事件

    CSDN密码泄漏事件中,网友评论密码的明文保存和MD5保存问题。目前,很多站点都用MD5算法保存密码,但对于HASH(哈希)算法的认识还存在很多误区,有必要重新认识。

  • PacketShaper更新其可视性和管理

    Blue Coat系统公司日前发布其最新的软件插件,以更新其已经连接到云的PacketShaper设备,提高该设备发现、监控评估和控制来自中国和亚洲最新流行应用流量的能力。

技术手册>更多

  • Nessus指南手册

    假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 无线攻击和漏洞

    目前很多公司都已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。没有充足的安全措施,无线就会为新的攻击开放企业网络。本专题将帮助您理解Wi-Fi的技术内在漏洞和对它攻击。

  • 网上银行安全防护指南

    网上银行又称网络银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上证券等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说,网上银行是在Internet上的虚拟银行柜台。虽然网上银行为大家提供了便利,但它也存在着许多安全风险,威胁着企业和用户的财产。本技术手册将向大家介绍常见的网上银行风险、网上银行安全评估与认证技巧以及网上银行安全技巧,帮助金融机构、企业和用户更好的了解网上银行安全。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算